小议反洗钱的内部审计研究范文

一、反洗钱内部控制审计程序设计

反洗钱内部控制审计就是对每项控制设计和运行的有效性进行评价。在评价时，应当充分考虑是否针对洗钱风险设置了合理的细化控制目标，是否针对细化控制目标设置了对应的控制活动，相关控制活动是如何运行的，相关控制活动是否得到了持续一致的运行，实施相关控制活动的人员是否具备必需的权限和能力。注册会计师应采用自上而下的方法选择拟测试的控制。首先，从被审计单位环境开始，对反洗钱内部控制整体风险有一定的把握；其次，将关注重点放在管理层面的控制上，并将审计工作逐渐下移到对重要客户和产品控制的了解上；然后，找出可能出问题的控制点，进行反洗钱内部控制测试。

（一）计划审计工作阶段

在计划审计工作中，注册会计师应当首先制定一个总体、恰当的计划，然后选取有专业胜任能力的人员进入项目组，要客观评价反洗钱内部控制以及对审计工作有影响的事项。

1．签订审计业务约定书

注册会计师应当在反洗钱内部控制审计业务开始前，与被审计单位就审计业务约定条款达成一致意见，并签订反洗钱内部控制审计业务约定书，以避免双方对审计业务的理解产生分歧。

2．了解被审计单位反洗钱内部控制环境并确定整体风险

首先，了解被审计单位的反洗钱法律法规和行业概况。了解反洗钱法律法规以及违反法律法规的行为可能导致的罚款、诉讼等，识别因违反反洗钱法律法规的行为而导致的重大风险。其次，了解被审计单位组织结构、经营特点和相关风险等重要事项。应考虑的因素包括但不限于：管理层对反洗钱工作的重视程度、反洗钱工作人员专业素质、反洗钱规章制度的完整性和操作性、反洗钱内部审计发现的问题等。第三，被审计单位反洗钱内部控制最近发生的变化。内部控制的变化将会直接影响到注册会计师审计程序的性质、时间和范围，包括新增的业务流程，原有业务流程的更新，反洗钱领导小组成员、反洗钱联络员变更等。第四，与被审计单位沟通过的反洗钱内部控制缺陷。注册会计师应当了解被审计单位对以前年度审计中发现的反洗钱内部控制缺陷所采取的整改措施及整改结果，并相应调整本年的反洗钱内部控制审计计划。最后，对反洗钱内部控制有效性做出初步判断。注册会计师结合上述考虑以及借鉴以前年度的审计结果，形成对反洗钱内部控制有效性的初步判断。

3．设定重要性

审计重要性是在特定的环境中，注册会计师从金额、性质两个方面运用一定的评估方法所作的一种专业判断，其运用目的是提高审计效能，避免审计风险和降低审计成本。运用重要性就是将审计重点放在高洗钱风险业务或产品和可疑交易报告工作的内部控制上。如果这项反洗钱内部控制缺陷连同其他缺陷可以影响外部对被审计单位的反洗钱工作认识，那么该项缺陷就是重大的。在执行反洗钱内部控制审计时，注册会计师应该考虑重要性与审计风险的关系，注册会计师应当运用职业判断确定重要性。

（二）实施审计工作阶段

在实施审计工作中,注册会计师应当对管理层和业务层进行控制测试。在测试时,要把握重要性,以评价内部控制是否足以应对洗钱风险。

1．识别、了解和测试管理层控制

注册会计师应当识别、了解和测试对内部控制有效性有重要影响的管理层控制。注册会计师对管理层的评价，可能会增加或减少本应对其他控制进行的测试。在注册会计师测试管理层控制时，至少应当关注：

（1）与控制环境相关的控制。控制环境设定了被审计单位的反洗钱内部控制基调，影响员工对反洗钱内部控制的认识和态度，主要包括管理层的反洗钱管理理念和风格、反洗钱部门设置和责权分配、反洗钱制度建设、反洗钱人力资本投入等。注册会计师应关注被审计单位管理层对反洗钱内部控制的重视程度及是否按照风险管理思想建立健全反洗钱内部控制，设立反洗钱专门机构的情况及反洗钱工作人员是否具备相应的履职能力，反洗钱内部控制的建设情况及是否根据政策变化及时更新制度，业务条线反洗钱资源配置情况及是否按照指定的政策和工作流程进行反洗钱工作，反洗钱宣传培训的情况及是否将反洗钱知识准确地传达给员工和客户。

（2）被审计单位的风险评估过程。风险评估是被审计单位根据反洗钱内部控制目标，贯彻风险为本的反洗钱策略，结合实际情况及时识别风险和评价洗钱风险发生的可能性和影响程度而采取应对措施的过程。注册会计师应关注被审计单位反洗钱内部控制是否在风险评估的基础上涵盖了管理层面的风险和所有重要业务层的风险。在评价被审计单位洗钱风险评估的设计和执行时，注册会计师首先应评估某项业务面临的洗钱风险点，其次评估被审计单位对该项业务洗钱风险控制措施的有效性，最后根据风险点和措施的有效性进行综合评估。

（3）对信息传递的控制。信息传递包括内部信息传递和外部信息传递。内部信息传递是指反洗钱职能部门与业务条线、上下级机构之间进行的反洗钱信息传递与共享。外部信息传递是指被审计单位与反洗钱监管机构、行业协会组织、同行业机构以及客户群等外部渠道进行的反洗钱信息沟通。注册会计师在了解信息传递的控制中，至少需要了解被审计单位信息传递的主要机制。如果传递机制与被审计单位环境不相适应时，需要考虑此种情况是否会影响其对内部环境的评价。

（4）对控制有效性的内部监督。反洗钱内部监督机制是确保反洗钱内部控制能够持续有效运行的保证，主要是通过内部审计、管理层督查、工作考核等形式对反洗钱内部控制进行评价及监督。注册会计师应该了解相关的内部监督控制，并对控制的设计和运行的有效性进行评价，重点关注被审计单位是否开展反洗钱内部控制自查并上报有关自查报告，是否建立有利于促进反洗钱内部控制各项政策措施落实和问题整改的机制。

2．识别和了解反洗钱业务层控制

注册会计师在进行反洗钱业务层控制测试时，应结合被审计单位实际，重点对其经营活动中的重要业务或产品的控制进行测试。

（1）了解反洗钱工作主要流程。反洗钱工作流程包括客户风险等级划分、对高风险业务或产品的识别及风险管理、客户身份识别及持续识别、客户身份资料和交易记录保存、大额交易和可疑交易的识别和报告、反洗钱信息系统技术支持等。注册会计师需要判断被审计单位的反洗钱工作流程及相关控制活动是否得到有效运行。

（2）识别内部控制可能出现问题的环节。注册会计师不需要识别出所有可能出问题的环节，而是结合重要性确定对反洗钱内部控制有重大影响的环节。例如，内部机构设置不合理，主要表现为：岗位设置不合理，设置的反洗钱人员大多为兼职人员，除反洗钱工作外还承担着其他大量业务工作，导致反洗钱工作不到位；或者虽然明确反洗钱人员的岗位职责，但职责内容较为简单，缺乏具体和细化的操作程序。再如，反洗钱检测系统开发不完善，主要表现在：系统不能及时、完整提取相关数据，可疑交易指标设置不合理导致可疑交易数据量过大；或者系统没有与客户风险等级划分系统及其他业务条线系统有效衔接。

3．选择拟测试的控制

针对反洗钱工作流程中容易发生洗钱风险的环节，注册会计师应当确定被审计单位是否建立了有效控制以防止或发现这类风险，是否遗漏了必要的控制。注册会计师在对反洗钱内部控制进行测试时，并不需要测试反洗钱工作流程中所有的控制点，而是应该把握重要性，选择适当的控制点进行测试，以获取充分、适当的审计证据支持其对反洗钱内部控制有效性的评价。选择适当的控制进行测试需要注册会计师的职业判断。对于每个控制要素对应的每个可能风险点，只需要选择一个控制进行测试。

4．设计并实施控制测试

注册会计师应当根据反洗钱内部控制相关的风险，确定拟实施审计程序的范围、时间和方法，以获取充分、适当的审计证据。

（1）审计范围。在确定审计范围时需考虑如下因素：一是与控制相对应的洗钱风险的严重程度。对于反洗钱工作影响重大的控制，注册会计师应扩大审计范围以确定其运行的有效性。二是反洗钱控制运行的频率。控制运行的频率越高，所需测试的范围越广泛。三是业务或反洗钱控制的复杂性。被控制的业务越复杂，或控制的运行越复杂，注册会计师的测试范围就越广泛。

（2）审计时间。反洗钱内部控制审计应该尽量安排在接近被审计单位内部控制自我评价基准日的时间前后，并且实施的测试需要涵盖足够长的期间。注册会计师应该收集足够多的证据证明被审计单位反洗钱内部控制在基准日前足够长的期间内都有效运行。注册会计师需要运用职业判断来决定控制测试的时间以及涵盖的期间。

（3）审计方法。注册会计师可以通过询问适当人员、观察反洗钱业务工作、检查相关文件、重新执行、穿行测试等方法对反洗钱内部控制设计与运行的有效性进行判断。

5．评价内部控制缺陷

如果某项反洗钱内部控制的设计或运行不能防止或发现洗钱行为，就表明该内部控制存在缺陷，具体包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现反洗钱控制目标所必需的控制，或现有控制设计不恰当，即使正常运行也难实现预期的控制目标。运行缺陷是指设计适当的反洗钱内部控制没有按设计意图运行，或执行人员没有获得必要授权或缺乏胜任能力，无法有效地实施反洗钱内部控制。缺陷主要包括系统缺陷、环境缺陷、信息缺陷、管理缺陷、人力资源缺陷。注册会计师需要对发现的反洗钱内部控制缺陷进行分析评价，判断其严重程度。

（三）完成审计工作阶段

在完成审计工作中，注册会计师要取得经被审计单位签署的书面声明，如果拒绝提供或者以不正当理由回避，则应当视为审计范围受限，应该解除业务约定或出具无法表示意见的内控审计报告。注册会计师要以书面形式与董事会和经理层沟通识别出来的所有重大缺陷和重要缺陷，以及认为内部审计机构对内部控制的无效监督。最后出具对反洗钱内部控制有效性的意见。

二、对审计结果的应用

对于被审计单位而言，可以通过定期的反洗钱内部控制审计，评估已建立的反洗钱内部控制的健全性和有效性，并根据审计结果和监管部门的最新要求，及时修改和完善反洗钱内部控制。对于监管机构而言，反洗钱内部控制审计结果可以作为其采取针对性监管措施的依据。对于消极开展反洗钱工作的被审计单位，监管机构可以采取再检查、行政处罚等更为严厉的监管措施。同时，监管机构也可以根据反洗钱内部控制审计的总体结果，查找被审计单位在反洗钱管理方面普遍存在的薄弱环节，有针对性地制订反洗钱培训和指导的方向。通过反洗钱内部控制审计，监管机构可以决定监管资源的投入方向和比例，确保有限的反洗钱监管优先投入到高风险机构和业务领域，真正实现以风险为本的监管模式。

作者：赵述单位：中国人民银行沈阳分行